信息安全第三章 信息安全基本概念与原理 买基金首先该了解什么信息和信息

第三章 信息安全基本概念与原理 1.信息安全概述（掌握-问答题 1.信息与信息安全

1）数据与信息

要了解什么是信息安全，需要先了解什么是信息，什么是数据。

数据是用来反映客观世界而记录下来的可以鉴别的物理符号。有客观性和可鉴别性。

信息是有一定含义的数据，是加工处理后的数据，是对决策者有用的数据

香农 C. E. Shannon ：信息是用来消除随机不确定性的东西(用熵来表示信息量)

信息的表现形式：

以电子数据的方式存储；打印或书写在纸上；或者以胶片形式显示或者通过交谈表达出来等。

网络与信息安全的重要意义：

我们已经进入信息社会，信息已经成为一种重要的战略资源。人们越来越依赖互联网和各种信息系统，信息系统的一次故障或事故会造成巨大的影响甚至灾难。因此信息安全至关重要。

2）信息安全

信息安全的核心属性：机密性、完整性、可用性

3）信息安全体系结构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h6ISZ815-1636730584078)(https://i.loli.net/2023/11/10/8pNsXDb3Ptr45kO.png)]

2.信息安全的发展历程

（1）密码学

（2）物理安全。

物理安全是指通过设备访问控制、边界保护、设备及网络资源管理等措施确保信息系统的保密性和完整性。通过容错、故障恢复及系统灾难备份等措施保证信息系统的可用性。

物理安全是保证计算机信息系统保密性、完整性和可用性的基础。

（3）操作系统安全

一个安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复和形式化分析等11个方面满足相应的安全技术要求。

（4）网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或恶意的原因而遭受破坏、更改和泄露，系统可以连续可靠地运行，网络服务不中断。

网络安全包括网络设备安全、网络信息安全和网络软件安全。

（5）软件安全

常见的软件安全问题包括：

数据库软件安全Web应用软件安全恶意软件安全防护

（6）数据安全

要防止数据丢失，要采取现代信息存储手段对数据进行主动防护，如磁盘阵列、数据备份和恢复以及异地容灾等要防止数据泄露，采用现代密码算法对数据进行主动保护，如数据加密，数据完整性检查、双向强身份认证等。还需要防止数据被非法访问和盗取，在数据传输和处理过程中对数据的防护也很重要。 2.信息安全的威胁（了解-选填 1) 信息安全的主要威胁

信息安全所面临的主要威胁:

人为的失误信息截取内部窃密和破坏黑客攻击技术缺陷病毒

计算机网络安全威胁归纳起来常表现为以下特征：

窃听重传伪造拒绝服务攻击篡改行为否认非授权访问传播病毒 2) 攻击者实施攻击的主要对象

信息安全威胁的基本类型：

1）针对网络基础设施的攻击

2）针对公共互联网的攻击

主要表现在木马僵尸网络、拒绝服务攻击、安全漏洞、网络数据泄露、移动互联网恶意程序、网页仿冒、网站攻击等

在安全漏洞方面，涉及重要行业和政府部门的高危漏洞事件增多

移动应用程序成为数据泄露的新主体

3）新兴信息技术带来的安全威胁

物联网、云计算、大数据和移动互联网被称为新一代信息技术“四驾马车”。

3) 社会工程学攻击

又称社交工程学

是一种通过对受害者心里弱点、本能反应、好奇心、信任、贪婪等信息陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法

社会工程学攻击方式

（1）假托。是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。 （2）调虎离山 （3）钓鱼 （4）在线聊天/电话钓鱼 （5）下饵 （6）等价交换。攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。 （7）尾随

3.信息安全体系结构（了解

信息安全体系是构成信息系统的组件、环境和人（用户和管理者）的物理安全、运行安全、数据安全、内容安全、应用安全、管理安全与信息资产安全的综合，是一个多维度、多元素、多层次、时变的非线性复杂系统。

其最终安全目标是控制信息系统的总风险趋于稳定并达到最小（绝对安全的信息系统是不存在的）。

1 面向目标的信息安全体系结构

2 面向过程的信息安全保障体系结构

信息安全保障的定义

保护和防御信息及信息系统，确保其机密性、完整性、可用性、可认证性、不可否认性等特性，包括信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能。

这个定义明确了机密性、完整性、可用性、可认证性、不可否认性这五个安全属性，提出了保护（Protect）、检测（Detect）、响应（React）、恢复（Restore）这四个动态的工作环节，强调了信息安全保障的对象不仅是信息，也包括信息系统，即PDRR动态安全模型。

信息保障技术框架（Information Assurance Technical Framework ,IATF）

3 面向应用的层次信息安全体系结构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nxgg1hzd-1636730584081)(https://i.loli.net/2023/11/10/eObm461tdWI5xnL.png)]

4 面向网络的OSI信息安全体系结构

OSI（Open System Interconnect) 开放式系统互联

1.安全服务

安全服务（Security Service）是指计算机网络提供的安全防护措施

（1）鉴别服务：可以鉴别参与通信的对等实体和源；授权控制的基础；提供双向的认证；一般采用高的密码技术进行身份认证 （2）访问控制：控制不同用户对信息资源访问权限；要求有审计核查功能；尽可能地提供细粒度的控制 （3）数据完整性：指通过网上传输的数据应防止被修改、删除、插入替换或重发，以保证合法用户接收和使用该数据的真实性；用于对付主动威胁。 （4）数据保密性：提供保护，防止数据未经授权就泄露，基于对称密钥和非对称密钥加密的算法。 （5）抗抵赖性：接收方要发送方保证不能否认收到的信息是发送方发出的信息，而不是被他人冒名篡改过的信息；发送方也要求对方不能否认已经收到的信息，防止否认对金融电子化系统很重要。

2.安全机制

（1）数据加密机制：向数据和业务信息流提供保密性，对其他安全机制起补充作用； （2）数据签名机制：对数据单元签名和验证，签名只有利用签名者的私有信息才能产生出来； （3）访问控制机制：利用某个实体经鉴别的身份或关于该实体的信息或该实体的权标，进行确定并实施实体的访问权；可用于通讯连接的任何一端或用在中间连接的任何位置； （4）数据完整性机制：两个方面，单个的数据单元或字段的完整性、数据单元串或字段串的完整性； （5）鉴别交换机制：通过信息交换以确保实体身份的机制；

（6）业务填充机制：一种制造假的通讯实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制；提供对各种等级的保护，防止业务分析；只在业务填充受到保密性服务时有效； （7）路由控制机制：路由既可以动态选择，也可以事先安排；携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路；连接的发起者可以请求回避特定的子网、中继站或链路； （8）公证机制：关于在两个或三个实体之间进行通选的数据的性能，可由公证机制来保证；保证由第三方提供；第三方得到通讯实体的信任。